بدافزار Tickler

یک بازیگر تهدیدکننده تحت حمایت دولت ایران از یک درب پشتی سفارشی جدید توسعه یافته در حملاتی که سازمان‌هایی را در ایالات متحده و امارات متحده عربی هدف قرار می‌دهند، استفاده کرده است. گروه هک APT33 که با نام‌های Peach Sandstorm و Refined Kitten نیز شناخته می‌شود، بدافزار ناشناخته قبلی را که اکنون با نام Tickler دنبال می‌شود، برای به خطر انداختن شبکه‌های سازمان‌ها در بخش‌های دولتی، دفاعی، ماهواره‌ای، نفت و گاز مستقر کرده است. به گفته محققان، این گروه که زیر نظر سپاه پاسداران انقلاب اسلامی ایران فعالیت می‌کند، از این بدافزار در یک کمپین جمع‌آوری اطلاعات بین آوریل تا جولای 2024 استفاده کرده است. در طول این حملات، هکرها از زیرساخت‌های Microsoft Azure برای فرماندهی و کنترل استفاده کردند. عملیات کنترل (C2) با تکیه بر اشتراک های جعلی Azure که از آن زمان توسط شرکت مختل شده است.

بخش های حیاتی هدف عملیات حمله

بین آوریل و می 2024، APT33 سازمان‌هایی را در بخش‌های دفاعی، فضایی، آموزشی و دولتی از طریق حملات اسپری رمز عبور موفق هدف قرار داد. این حملات شامل تلاش برای دسترسی به چندین حساب با استفاده از مجموعه محدودی از رمزهای عبور رایج برای جلوگیری از ایجاد قفل حساب بود.

اگرچه فعالیت اسپری رمز عبور در بخش‌های مختلف مشاهده شد، محققان خاطرنشان کردند که Peach Sandstorm به طور خاص از حساب‌های کاربری آسیب‌دیده در بخش آموزش برای ایجاد زیرساخت عملیاتی آن‌ها استفاده می‌کند. عوامل تهدید یا به اشتراک‌های موجود Azure دسترسی پیدا کردند یا اشتراک‌های جدیدی را با استفاده از حساب‌های در معرض خطر برای میزبانی زیرساخت خود ایجاد کردند. این زیرساخت لاجوردی سپس در عملیات‌های بعدی که بخش‌های دولتی، دفاعی و فضایی را هدف قرار می‌دهند، مورد استفاده قرار گرفت.

طی سال گذشته، Peach Sandstorm با استفاده از ابزارهای سفارشی توسعه یافته، با موفقیت به چندین سازمان در این بخش ها نفوذ کرده است.

بدافزار Tickler صحنه را برای تهدیدات بدافزار اضافی آماده می‌کند

Tickler به عنوان یک درب پشتی سفارشی و چند مرحله‌ای شناخته می‌شود که به مهاجمان اجازه می‌دهد بدافزارهای اضافی را روی سیستم‌های در معرض خطر نصب کنند. به گفته مایکروسافت، بارهای مخرب مرتبط با Tickler می‌توانند اطلاعات سیستم را جمع‌آوری کنند، دستورات را اجرا کنند، فایل‌ها را حذف کنند، و فایل‌ها را به و از سرور Command and Control (C&C) دانلود یا آپلود کنند.

کمپین های قبلی جرایم سایبری APT33

در نوامبر 2023، گروه تهدید ایرانی از تاکتیک مشابهی برای نفوذ به شبکه‌های پیمانکاران دفاعی در سطح جهانی استفاده کرد و بدافزار در پشتی FalseFont را به کار گرفت. چند ماه قبل، محققان هشداری درباره کمپین APT33 دیگری صادر کرده بودند که از فوریه 2023 هزاران سازمان را در سراسر جهان از طریق حملات گسترده اسپری رمز عبور هدف قرار داده بود که منجر به نقض در بخش های دفاعی، ماهواره ای و دارویی شد.

برای افزایش امنیت در برابر فیشینگ و سرقت حساب، مایکروسافت اعلام کرد که از 15 اکتبر، احراز هویت چند عاملی (MFA) برای همه تلاش‌های ورود به سیستم Azure اجباری خواهد شد.

بدافزار Backdoor ممکن است منجر به عواقب شدید برای قربانیان شود

بدافزار Backdoor با ارائه دسترسی غیرمجاز به سیستم‌های در معرض خطر، خطرات قابل توجهی را هم برای کاربران و هم برای سازمان‌ها ایجاد می‌کند. پس از نصب، بدافزار backdoor نقاط ورودی مخفی ایجاد می کند که به مهاجمان اجازه می دهد اقدامات امنیتی سنتی را دور بزنند و کنترل شبکه قربانی را به دست آورند. این دسترسی بالا می تواند منجر به طیف وسیعی از عواقب شدید شود.

اولاً، بدافزار backdoor مهاجمان را قادر می‌سازد تا اطلاعات حساس از جمله داده‌های شخصی، سوابق مالی و مالکیت معنوی را جمع‌آوری کنند. این داده های جمع آوری شده می تواند برای سرقت هویت، کلاهبرداری مالی یا جاسوسی شرکتی استفاده شود. علاوه بر این، بدافزار می‌تواند با فعال کردن نصب نرم‌افزارهای مخرب اضافی، از جمله باج‌افزار، که می‌تواند فایل‌های مهم را رمزگذاری کرده و برای انتشار آنها باج بگیرد، حملات بیشتر را تسهیل کند.

ثانیاً، بدافزار backdoor می‌تواند یکپارچگی سیستم را به خطر بیندازد و عملیات را مختل کند. مهاجمان می‌توانند فایل‌های مهم را دستکاری یا حذف کنند، پیکربندی‌های سیستم را دستکاری کرده و ابزارهای امنیتی را غیرفعال کنند که منجر به خرابی عملیات و ضررهای مالی قابل توجهی می‌شود. این اختلال می‌تواند به ویژه برای بخش‌های زیرساختی حیاتی، مانند مراقبت‌های بهداشتی، مالی و انرژی، که در آن‌ها قطعی سیستم می‌تواند بر امنیت و خدمات عمومی تأثیر بگذارد، مضر باشد.

علاوه بر این، بدافزارهای پشتی اغلب نظارت و جاسوسی پنهان را تسهیل می کنند. مهاجمان می‌توانند فعالیت‌های کاربر را نظارت کنند، ضربه‌های کلید را ضبط کنند و به فیدهای وب‌کم بدون اطلاع قربانی دسترسی داشته باشند که منجر به نقض حریم خصوصی و اطلاعات محرمانه می‌شود.

به طور خلاصه، یک بدافزار backdoor با تضعیف امنیت داده ها، یکپارچگی عملیاتی و حریم خصوصی، خطرات جدی ایجاد می کند. توانایی آن در ارائه دسترسی مداوم و غیرمجاز آن را به یک تهدید قوی تبدیل می کند که برای کاهش تأثیر آن به اقدامات امنیتی قوی و نظارت دقیق نیاز دارد.

پرطرفدار

پربیننده ترین

بارگذاری...